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Beschreibung 

Verfahren zur Absicherung von Einsprungsadressen 

Auf zukiinftigen Chipkarten sollen Applikationen von Drittfir- 
men zugelassen werden, die Funktionen des Betriebssystems 
aufrufen konnen. Dabei konnte die Gefahr bestehen, daft diese 
Applikationen von Drittfirmen Manipulations- oder Sabotage- 
versuche hinsichtlich anderer Programmteile enthalten. Ein 
solcherart moglicher Angriff ware, nicht einen gultigen Funk- 
tionszeiger einer Betriebssystemroutine aus der Applikation 
heraus zu verwenden, sondern eine andere Einsprungsadresse zu 
verwenden. Dadurch wiirde Code des Betriebssystems nicht ord- 
nungsgemaft ausgefuhrt und z.B. moglicherweise Datenverluste 
durch fehlerhaftes Oberschreiben eines Speicherbereiches pro- 
voziert werden. 

Gemaft dem Stand der Technik ist eine Losung durch den Ein- 
sprung auf vordef inierte Adressen in festen Abstanden (gates) 
geplant. Dabei muB zunachst uberpruft werden, ob eine Gate- 
adresse im Bereich der fur das Modul erlaubten Adressen 
liegt. Bei positivem Resultat wird das gate angesprungen und 
von dort weiter ein Sprung in die eigentliche Funktion ausge- 
fuhrt. Dies ist nachteilig, da dabei ein berechneter Sprung 
ausgefuhrt werden muft, der zu einem Peephole in der CPU Pipe- 
line fiihrt. Alternativ kann der Sprung in die Funktion verzo- 
gert nach einigen vorgezogenen Programminstruktionen der 
Funktion stattfinden. Dies fiihrt zu einem schwierigen Opti- 
mierungsproblem fur den Compiler, falls am Anfang der Funkti- 
on eine Schleife eingeleitet wird und standig zwischen dem 
Code am gate und dem ausgelagerten Code hin und her gesprun- 
gen werden muft . 

Es ist daher Aufgabe der Erfindung, ein Verfahren zur Absi- 
cherung von Einsprungsadressen dieser Art zu schaffen, bei 
dem kein berechneter Sprung ausgefuhrt werden muft und damit 
kein Peephole in der Pipeline der CPU-Instruktionen auftritt. 
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Erf indungsgemaft wird diese Aufgabe dadurch gelost, daft zulas- 
sige Einsprungsadressen direkt angesprungen werden durfen, 
und durch eine Korrelation von Daten, die nicht innerhalb der 
selben, einzelnen Instruktion stehen konnen, erkennbar sind. 

Dabei kann der Compiler oder Linker durch Organisation des 
Programmcodes sicherstellen, daft nur legale Einsprungsadres- 
sen diese Korrelation erfiillen. Beispielsweise kann die Kor- 
relation dadurch erfolgen, daft die Speicher zelle unmittelbar 
vor oder nach der Einsprungsadresse die Adresse korrelierter 
Daten enthalt . 

Eine bevorzugte Moglichkeit ist dabei, daft die Speicher zelle 
unmittelbar vor oder nach der Einsprungsadresse einen Verweis 
auf den entsprechenden Eintrag in einer geschutzten Liste le- 
galer Einsprungsadressen enthalt. 



Es ist dabei besonders bevorzugt, beim Ausfuhren des Funk- 
tionsaufrufs automatisch zu iiberprufen, ob die Korrelation 
der Daten erfiAllt ist. 



Besonders bevorzugt ist es, beim Ausfuhren des Funkt ionsauf - 
rufs zusatzlich automatisch zu iiberprufen, ob das korrelierte 
Datum im vorgesehenen, reservi'erten Speicherbereich liegt . 

Sofern Programminstrukt ionen eine gewisse maximale Anzahl n 
von Bytes nicht iiberschreiten, kann eine weitere erfindungs- 
gemafte Losung angewendet werden, indem ein spezieller no- 
operation Code vorgesehen wird, der zur Vermeidung zufalliger 
Korrelationen dient, und vom Compiler oder Linker nachtrag- 
lich eingefligt werden kann. 

Dabei ist es besonders bevorzugt, daft die Korrelation zwi- 
schen Codedaten erfolgt, die mindestens n Byte voneinander 
entfernt sind. 
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Aufterdem kann die Einsprungsadresse erf indungsgemaft durch das 
Einfugen einer speziellen Bytesequenz abgesichert werden, die 
nicht innerhalb des regularen Codes auftreten kann, bei- 
spielsweise durch einen speziellen no-operation Code. 

Erfindungsgemaft kann also das Peephole in der Pipeline durch 
einen direkten Ansprung an die Adresse des Funkt ionspointers 
vermieden werden. Allerdings muft dann dafur gesorgt werden, 
daft legale Ansprungsadressen durch nichtlokale Codekorrela- 
tionen ausgezeichnet sind. Der Compiler oder Linker muli durch 
Organisation des Programmcodes sicherstellen, daft nur legale 
Funktionsansprungadressen diese Korrelation erfullen. "Nicht- 
lokale {Correlation" bedeutet hierbei eine Korrelation von Da- 
ten, die nicht innerhalb der selben, einzelnen Instruktion 
stehen konnen. 

Folgende bevorzugte Ausf uhrungsf ormen der Erfindung sind also 
beispielsweise moglich: 

1. Korrelation mit Daten in dafur reservierten Speicherberei- 
chen: Eine einfache Implementation konnte z.B. in der Spei- 
cherzelle unmittelbar vor der Einsprungsadresse die Adresse 
eines korrelierten Datums beinhalten, das z.B. wieder der le- 
galen Einsprungsadresse der Funktion entspricht. Beim Ausfiih- 
ren des Funktionsauf ruf s kann automatisch iiberpruft werden, 
ob diese Korrelation erfiillt ist und/oder ob das korrelierte 
Datum im vorgesehenen, reservierten Speicherbereich liegt. 
Der Mechanismus ist auf den ersten Blick sehr ahnlich zum 
bisherigen Gatemechanismus , hat aber den Vorteil, daft kein 
berechneter Sprung auftritt und die Instruktionen der Funk- 
tion unmittelbar in den Prefetcher der Pipeline geholt werden 
konnen. Ein Peephole tritt nur im Fehlerfall eines illegalen 
Einsprungs auf. 

2. Korrelation mit Programmdaten in nicht reservierten Spei- 
cherbereichen. Diese Losung setzt voraus, daft die Programmin- 
struktionen eine gewisse maximale Anzahl n von Bytes nicht 
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uberschreiten. Langere Datenbereiche im Codesegment mussen 
dann ausgeschlossen werden. Aufierdem setzt diese Methode ei- - 
nen speziellen no-operation Code (SNOP) voraus, der niemals 
im regularen Code eingesetzt wird und nur zum Vermeiden von 
zufalligen Korrelationen vom Compiler /Linker nachtraglich 
eingefugt wird. Zwei unterschiedliche Typen von Losungen las- 
sen sich hier noch unterscheiden : 

a) Die Korrelation erfolgt zwischen Codedaten, die mindestens 
n Bytes voneinander entfernt sind. Der Compiler bzw. Linker 
mull dabei sicherstellen, daft etwaige zufallige Korrelationen 
im Code durch Einfuhren von SNOP-Zwischencodes vermieden wer- 
den . 

Eine mogliche Implementation sieht f olgendermallen aus: Unmit- 
telbar vor der Einsprungs'adresse der Funktion steht ein Wert, 
der eine Funktion der darauf folgenden n+m (m> 0, ansonsten 
beliebig) Bytes ist. Sollte diese Korrelation irgendwo im 
Code zufallig erfullt sein, so mufi der Compiler bzw. Linker 
diese zufallige Korrelation aufheben: Da in der Folge der n+m 
Bytes nach Vorausset zung mindestens eine echte Instruktion 
endet, kann nach deren Ende eine Reihe von SNOP-Instruktionen 
eingefugt werden, bis sich der Funktionswert andert. Die 
Funktion kann dabei innerhalb gewisser Grenzen frei gewahlt 
werden . 

b) Die Einsprungsadresse wird abgesichert durch das Einfugen 
einer speziellen Bytesequenz, die nicht innerhalb des regula- 
ren Codes auftreten kann. Beispiel hierfur ist eine Folge von 
Op-Codes (SNOP) . 

Erf indungsgemafl werden also die Einsprungsadressen fur Funk- 
tionen durch nichtlokale Codekorrelationen, die nur an den 
Einsprungsadressen auftreten konnen, abgesichert. 
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Vorteilhaf terweise wird so der Gate Mechanismus, der einen 
berechneten Jump nach sich zieht und ein Peephole in der In- 
struktions Pipeline verursacht, vermieden. 

Es wird vielmehr direkt an die Einsprungsadresse in die Funk 
tion gesprungen. Die nachf olgenden Instruktionen konnen in 
die Pipeline geladen werden, unabhangig davon, ob die Verifi 
kation der Sprungadresse positiv oder negativ ausfallt. Die 
Effizienz von uberwachten Funktionsauf ruf en wird damit er- 
hoht . 
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Patentanspruche 

1. Verfahren zur Absicherung von Einsprungsadressen, d a- 
durch gekennzeichnet, daft zulassige Ein- 
sprungsadressen direkt angesprungen werden durfen, und durch 
eine Korrelation von Daten, die nicht innerhalb der selben, 
einzelnen Instruktion stehen konnen, erkennbar sind. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daft der Compiler oder Linker durch Organisa- 
tion des Programmcodes sicherstellt , daft nur legale Ein- 
sprungsadressen diese Korrelation erfullen. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daft die Korrelation dadurch erfolgt, 
daft die Speicher zelle unmittelbar vor oder nach der Ein- 
sprungsadresse die Adresse korrelierter Daten enthalt. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daft die Speicher zelle unmittelbar vor oder 
nach der Einsprungsadresse einen Verweis auf den entsprechen- 
den Eintrag in einer geschutzte Liste legaler Einsprungs- 
adressen enthalt. 

5. Verfahren nach einem der Anspruche 1 bis 4, dadurch 
gekennzeichnet, daft beim Ausfuhren des Funkti- 
onsaufrufs automatisch uberpruft wird, ob die Korrelation der 
Daten erfullt ist. 

6. Verfahren nach Anspruch 5, dadurch gekenn- 
zeichnet, daft beim Ausfuhren des Funktionsauf ruf s zu- 
satzlich automatisch uberpruft wird, ob das korrelierte Datum 
im vorgesehenen, reservierten Speicherbereich liegt. 

7. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daft Programminstruktionen eine ge- 
wisse maximale Anzahl n von Bytes nicht uberschreiten und daft 
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ein spezieller No-Operation-Code (SNOP) vorgesehen ist, der 
zur Vermeidung zufalliger Korrelationen client, und vom Compi- 
ler oder Linker nachtraglich eingefiigt werden kann. 

5 8. Verfahren nach Anspruch 7, dadurch gekenn- 
zeichnet, dafi die Korrelation zwischen Codedaten er- 
folgt, die mindestens n Byte voneinander entfernt sind. 

9. Verfahren nach Anspruch 1, 2 oder 7, dadurch ge- 
10 kennzeichnet, daft die Einsprungsadresse durch das 

Einfugen einer speziellen Bytesequenz abgesichert wird, die 
9 nicht innerhalb des regularen Codes auftreten kann. 

10. Verfahren nach Anspruch 9, dadurch gekenn- 

15 zeichnet, daJi als spezielle Bytesequenz ein spezieller 
No-Operation-Code (SNOP) verwendet wird. 



V 

# 
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Zusammen fas sung 

Verfahren zur Absicherung von Einsprungsadressen 

Erheblich ef f izienteres Verfahren zur Absicherung von Ein- 
sprungsadressen in Computerprograrrunen, wobei zulassige Ein- 
sprungsadressen direkt angesprungen werden durfen, und durch 
eine Korrelation von Daten, die nicht innerhalb der selben, 
einzelnen Instruktion stehen konnen, erkennbar sind. Dabei 
kann vom Compiler oder Linker durch Organisation des Pro- 
grammcodes sichergestellt werden, daft nur legale Einsprungs- 
adressen diese Korrelation erfullen. 



